[Aide] Se désinfecté d'un stealer !
Résolu
antoine93
Messages postés
158
Date d'inscription
Statut
Membre
Dernière intervention
-
rapas93 Messages postés 6 Date d'inscription Statut Membre Dernière intervention -
rapas93 Messages postés 6 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
J'ai été bête et j'ai télécharger un virus il y a pas longtemps, je me suis donc fait hacker 2 de mes 5 comptes sur Dofus, les autres ayant Ankama-Shield, j'ai fait des scans complet avec Avira et MBAM et il y avait pleins de trucs à supprimé, je l'ai fait, sauf que je pense être toujours infecté.
Je m'explique :
-Au démarrage de windows j'ai 2 message d'erreur de microsoft framework : erreur d'ouverture de Appdata/roaming/ msfupdate.exe ...
-Ankama shield est une protection de compte dofus qui pose un certificat sur le pc, les stealer ont la capacité de supprimé ces certificats, et à chaque connexion je dois en re-créer un ce qui ne devrait pas être le cas donc je pense qu'un stealer continue de les supprimer.
Voila donc si vous avez la solution miracle...
Le formatage total mais je n'ai pas de cd windows !
J'ai été bête et j'ai télécharger un virus il y a pas longtemps, je me suis donc fait hacker 2 de mes 5 comptes sur Dofus, les autres ayant Ankama-Shield, j'ai fait des scans complet avec Avira et MBAM et il y avait pleins de trucs à supprimé, je l'ai fait, sauf que je pense être toujours infecté.
Je m'explique :
-Au démarrage de windows j'ai 2 message d'erreur de microsoft framework : erreur d'ouverture de Appdata/roaming/ msfupdate.exe ...
-Ankama shield est une protection de compte dofus qui pose un certificat sur le pc, les stealer ont la capacité de supprimé ces certificats, et à chaque connexion je dois en re-créer un ce qui ne devrait pas être le cas donc je pense qu'un stealer continue de les supprimer.
Voila donc si vous avez la solution miracle...
Le formatage total mais je n'ai pas de cd windows !
A voir également:
- [Aide] Se désinfecté d'un stealer !
- Lumma stealer - Accueil - Virus
- Metastealer stealer - Accueil - Virus
- Aide pour désinfection pc ✓ - Forum Virus
- Désinfecter un téléphone Android ✓ - Forum Virus
- Pour désinfecter un ordinateur, il est recommandé de le redémarrer depuis un cd-rom ou une clef usb; pourquoi ? ✓ - Forum Sécurité
12 réponses
Salut,
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
puis :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
puis :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
CHR - Extension: SearchNewTab = C:\Users\Antoine\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhjcccadmcnpoeimbdmbpaeidjaofefa\1\
CHR - Extension: conteinueatoisaave = C:\Users\Antoine\AppData\Local\Google\Chrome\User Data\Default\Extensions\lcagljpkhhgfaojedigackadlmhngjed\1\
CHR - Extension: SearchNewTab = C:\Users\Antoine\AppData\Local\Google\Chrome\User Data\Default\Extensions\nkdbhibnnmbpcpbnienfilcmpgkffbhm\1\
CHR - Extension: SearchNewTab = C:\Users\Antoine\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkmjgpnnlcpjjfenhaejafgbgbjgcpgf\1\
O2 - BHO: (SearchNewTab) - {34D49F13-09D6-0F81-78EA-4AA6F426C76F} - C:\ProgramData\SearchNewTab\51abb8ce1678d.dll File not found
O2 - BHO: (SearchNewTab) - {4C3E58AA-10CE-8F2A-690F-983D537A6809} - C:\ProgramData\SearchNewTab\51abb92bcde3b.dll File not found
O2 - BHO: (conteinueatoisaave) - {F87398AE-17BF-0DDD-9DB3-ED4C39DA3687} - C:\ProgramData\conteinueatoisaave\51abb8a6dfb3d.dll File not found
O4:[b]64bit:/b - HKLM..\Run: [Windows Update] C:\Users\Antoine\AppData\Local\Temp\WinUpdate.exe (Copyright (C) Adobe systems)
O4 - HKCU..\Run: [Windows Update] C:\Users\Antoine\AppData\Local\Temp\WinUpdate.exe (Copyright (C) Adobe systems)
O4 - Startup: C:\Users\Antoine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\msfupdate.exe (Copyright (C) Adobe systems)
ActiveX: {58XG707I-F364-E6NR-7I30-7K2PY50F2U05} - C:\Windows\system32\install\svchost.exe
ActiveX: {TJR1S7XV-BLT4-307I-XH18-21K033FTYRFR} - C:\Windows\setup001541215n\driver.exe
[2013/06/11 23:47:13 | 000,000,000 | ---D | C] -- C:\Users\Antoine\Desktop\Spymaster
[2013/06/11 18:59:11 | 000,000,000 | ---D | C] -- C:\Users\Antoine\Desktop\steal
[2013/06/11 18:59:03 | 000,000,000 | ---D | C] -- C:\Users\Antoine\Desktop\data
[2013/06/11 18:13:53 | 000,000,000 | ---D | C] -- C:\Users\Antoine\Desktop\chrome
:Commands
[emptytemp]
[emptyflash]
[resethosts]
[reboot]
* redemarre le pc sous windows et poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier C:\_OTL.zip
Envoie ce fichier _OTL.zip sur http://upload.malekal.com
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
CHR - Extension: SearchNewTab = C:\Users\Antoine\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhjcccadmcnpoeimbdmbpaeidjaofefa\1\
CHR - Extension: conteinueatoisaave = C:\Users\Antoine\AppData\Local\Google\Chrome\User Data\Default\Extensions\lcagljpkhhgfaojedigackadlmhngjed\1\
CHR - Extension: SearchNewTab = C:\Users\Antoine\AppData\Local\Google\Chrome\User Data\Default\Extensions\nkdbhibnnmbpcpbnienfilcmpgkffbhm\1\
CHR - Extension: SearchNewTab = C:\Users\Antoine\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkmjgpnnlcpjjfenhaejafgbgbjgcpgf\1\
O2 - BHO: (SearchNewTab) - {34D49F13-09D6-0F81-78EA-4AA6F426C76F} - C:\ProgramData\SearchNewTab\51abb8ce1678d.dll File not found
O2 - BHO: (SearchNewTab) - {4C3E58AA-10CE-8F2A-690F-983D537A6809} - C:\ProgramData\SearchNewTab\51abb92bcde3b.dll File not found
O2 - BHO: (conteinueatoisaave) - {F87398AE-17BF-0DDD-9DB3-ED4C39DA3687} - C:\ProgramData\conteinueatoisaave\51abb8a6dfb3d.dll File not found
O4:[b]64bit:/b - HKLM..\Run: [Windows Update] C:\Users\Antoine\AppData\Local\Temp\WinUpdate.exe (Copyright (C) Adobe systems)
O4 - HKCU..\Run: [Windows Update] C:\Users\Antoine\AppData\Local\Temp\WinUpdate.exe (Copyright (C) Adobe systems)
O4 - Startup: C:\Users\Antoine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\msfupdate.exe (Copyright (C) Adobe systems)
ActiveX: {58XG707I-F364-E6NR-7I30-7K2PY50F2U05} - C:\Windows\system32\install\svchost.exe
ActiveX: {TJR1S7XV-BLT4-307I-XH18-21K033FTYRFR} - C:\Windows\setup001541215n\driver.exe
[2013/06/11 23:47:13 | 000,000,000 | ---D | C] -- C:\Users\Antoine\Desktop\Spymaster
[2013/06/11 18:59:11 | 000,000,000 | ---D | C] -- C:\Users\Antoine\Desktop\steal
[2013/06/11 18:59:03 | 000,000,000 | ---D | C] -- C:\Users\Antoine\Desktop\data
[2013/06/11 18:13:53 | 000,000,000 | ---D | C] -- C:\Users\Antoine\Desktop\chrome
:Commands
[emptytemp]
[emptyflash]
[resethosts]
[reboot]
* redemarre le pc sous windows et poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier C:\_OTL.zip
Envoie ce fichier _OTL.zip sur http://upload.malekal.com
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Envoie ce fichier C:\Users\Antoine\AppData\Local\Viber\Viber.exe sur http://upload.malekal.com
Pareil pour : C:\Users\Antoine\AppData\Roaming\Aerial Capture.exe
Pareil pour : C:\Users\Antoine\AppData\Roaming\Aerial Capture.exe
Viber c'est fait mais c'est une application officielle aucun risque,
par contre Aerial Capture je le trouve pas ! Dans AppData il y a que les dossiers : Local et LocalLow et il n'est pas dedans !
par contre Aerial Capture je le trouve pas ! Dans AppData il y a que les dossiers : Local et LocalLow et il n'est pas dedans !
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2013/05/31 22:36:48 | 000,145,408 | ---- | C] (Copyright (C) Adobe systems) -- C:\Users\Antoine\AppData\Roaming\Aerial Capture.exe
[2013/05/31 22:26:41 | 000,000,000 | -HSD | C] -- C:\Users\Antoine\Documents\MSDCSC
:Commands
[reboot]
* redemarre le pc sous windows et poste le rapport ici
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2013/05/31 22:36:48 | 000,145,408 | ---- | C] (Copyright (C) Adobe systems) -- C:\Users\Antoine\AppData\Roaming\Aerial Capture.exe
[2013/05/31 22:26:41 | 000,000,000 | -HSD | C] -- C:\Users\Antoine\Documents\MSDCSC
:Commands
[reboot]
* redemarre le pc sous windows et poste le rapport ici
========== OTL ==========
C:\Users\Antoine\AppData\Roaming\Aerial Capture.exe moved successfully.
C:\Users\Antoine\Documents\MSDCSC folder moved successfully.
========== COMMANDS ==========
OTL by OldTimer - Version 3.2.69.0 log created on 06172013_143641
C:\Users\Antoine\AppData\Roaming\Aerial Capture.exe moved successfully.
C:\Users\Antoine\Documents\MSDCSC folder moved successfully.
========== COMMANDS ==========
OTL by OldTimer - Version 3.2.69.0 log created on 06172013_143641
Ca doit être correct.
Ton malware était assez mal détecté : 6/47 sur VirusTotal : http://malwaredb.malekal.com/index.php?hash=d16b3229aca7dafeb435f0af0b1296f7
J'ai envoyé aux antivirus et notifiez l'hébergeur, le site où sont envoyés les informations volées devraient être mis hors ligne.
~~
Tu as été infecté par un Rat (Remote Administration Tools).
=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/
Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.
Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par ce Rat.
Faire attention à ce que vous téléchargez - change tous tes mots de passe
Ton malware était assez mal détecté : 6/47 sur VirusTotal : http://malwaredb.malekal.com/index.php?hash=d16b3229aca7dafeb435f0af0b1296f7
J'ai envoyé aux antivirus et notifiez l'hébergeur, le site où sont envoyés les informations volées devraient être mis hors ligne.
~~
Tu as été infecté par un Rat (Remote Administration Tools).
=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/
Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.
Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par ce Rat.
Faire attention à ce que vous téléchargez - change tous tes mots de passe